Atak ransomware prowadzony przez cybergang REvil (Sodikinibi) dotyka 1500 firm na całym świecie

Poważny atak ransomware przeprowadzony przez cieszący się złą sławą cybergang REvil / Sodinikibi na czele, mógł rzekomo uderzyć w 200 firm w Ameryce i blisko 1500 na całym świecie. Związani z Rosją oszuści włamali się na specjalny pakiet oprogramowania do zarządzania siecią, aby rozprzestrzenić zagrożenie, co pozwoliło im dotrzeć do niezliczonych dostawców usług w chmurze.

Wadliwe oprogramowanie, o którym mowa, nazywa się wirtualnym administratorem systemu lub VSA – systemem zdalnego monitorowania i zarządzania opracowanym i sprzedawanym przez prywatną firmę Kaseya, dążącą do zapewnienia wydajnych i opłacalnych rozwiązań programowych dla małych i średnich firm na całym świecie . Szkodnik zaczął uruchamiać oprogramowanie ransomware na punktach końcowych zarządzanych przez pakiet lokalny VAS firmy Kaseya. W rezultacie rzeczywista skala tej taktyki może okazać się znacznie ważniejsza, niż oczekiwali badacze bezpieczeństwa.

Wykorzystywanie popularnego oprogramowania w celu uzyskania większego wpływu

Ataki ransomware tego kalibru zwykle próbują znaleźć luki w zabezpieczeniach dobrze znanych, powszechnie używanych programów, a następnie wykorzystać te luki, aby umieścić złośliwe oprogramowanie dalej w łańcuchu dostaw. Jest to jednak pierwszy atak ransomware w łańcuchu dostaw na dużą skalę, jaki zaobserwowaliśmy. Biorąc pod uwagę dużą liczbę firm korzystających z pakietu VSA firmy Kaseya, nie jest do końca jasne, jaki procent ich klientów padł do tej pory ofiarą ataku. Kierownictwo firmy Kaseya właśnie wydało oficjalne zawiadomienie wzywające klientów do wyłączenia wszystkich lokalnych serwerów VSA w celu ograniczenia rozprzestrzeniania się szkodliwego oprogramowania. Chociaż firma znalazła mniej niż sześćdziesięciu klientów, których to dotyczy, ci ostatni mają relacje biznesowe z wieloma innymi firmami w dół linii, co daje całkowitą liczbę dotkniętych firm do około 1500 lub mniej.

W przeddzień 4 lipca – zbieg okoliczności czy wyrachowany ruch?

Badacze bezpieczeństwa uważają, że czas ataku – piątek, 2 lipca – był celowy, biorąc pod uwagę, że większość działów biznesowych, w tym IT, zazwyczaj zmniejsza liczbę pracowników przed świętami państwowymi i w ich trakcie. John Hammond z Huntress Labs, który odkrył atak, zgłosił co najmniej czterech zainfekowanych dostawców usług zarządzanych, z których każdy świadczy usługi hostingu infrastruktury IT dla wielu innych firm. Łańcuch dostaw ma ogromny potencjał szkód, ponieważ jego ostatecznymi ofiarami są małe i średnie firmy, które są całkowicie zależne od bezpieczeństwa swoich dostawców. Gdy ta ostatnia dozna naruszenia, rozprzestrzenia się lotem błyskawicy wśród swoich klientów biznesowych w dalszej części łańcucha.

Łata i środki zapobiegawcze (stan na 6 lipca, 12:00 czasu EDT)

Urzędnicy Kaseya doradzili klientom, których dotyczy problem, aby zamknęli swoje lokalne serwery VSA do odwołania i unikali klikania jakichkolwiek adresów URL związanych z oprogramowaniem ransomware, obiecując opracowanie łatki bezpieczeństwa przed ponownym włączeniem serwerów. Firma poszła w jej ślady, wyłączając również swoją infrastrukturę VSA SaaS. Chociaż specjaliści ds. bezpieczeństwa firmy Kaseya mają nadzieję, że przywrócą usługi SaaS dzisiaj do godziny 19:00 czasu EDT, planują również wdrożenie szeregu ulepszonych środków bezpieczeństwa, aby zminimalizować ryzyko przyszłych infekcji. Środki te wahają się od ustanowienia:

• Niezależne Security Operations Center (SOC) do monitorowania każdego serwera VSA
• Dodatkowa sieć dostarczania treści (CDN) z odpowiednią zaporą sieciową (WAF) dla każdego serwera VSA
• Narzędzie do wykrywania naruszeń dla klientów chcących przetestować swoje lokalne serwery VSA pod kątem potencjalnych naruszeń
• Łatka dla lokalnych klientów VSA (już opracowana, obecnie w trakcie testów i walidacji).

Jeśli wszystko pójdzie zgodnie z planem, klienci VSA firmy Kaseya będą mogli uruchomić swoje serwery w ciągu najbliższych kilku godzin.